Le DOJ poursuit 2,3 millions de dollars en bitcoins récupérés auprès d’un opérateur de ransomware présumé « Chaos »

Les procureurs fédéraux ont lancé une action en confiscation pour réclamer 2,3 millions de dollars en bitcoins qui seraient liés à un acteur de ransomware du groupe Chaos nouvellement identifié.

Selon un communiqué de presse du 28 juillet du bureau du procureur américain du district nord du Texas, le ministère de la Justice a déposé une plainte civile demandant la confiscation d’environ 20,3 bitcoins.

La division Dallas du FBI a initialement saisi le bitcoin en question à la mi-avril dans un portefeuille lié à un individu connu sous le nom de « Hors », qui serait membre du groupe de ransomware Chaos.

Les autorités affirment que les fonds sont liés à des stratagèmes qui ciblaient des victimes dans le district nord du Texas et dans d’autres régions, et constituent des biens impliqués dans ou dérivés d'"activités illégales, y compris le blanchiment d’argent et l’extorsion » liées aux attaques de ransomware.

Les forces de l’ordre auraient accédé au portefeuille en utilisant une phrase de récupération associée à Electrum, une ancienne plate-forme de portefeuille Bitcoin. Cependant, le gouvernement n’a pas révélé comment la phrase de démarrage a été obtenue.

Selon les documents judiciaires, les agents fédéraux ont réussi à transférer les fonds saisis à une adresse contrôlée par le gouvernement.

Au moment de la saisie en avril, le bitcoin valait environ 1,7 million de dollars.  Au moment où la plainte a été déposée à la fin de juillet, la valeur avait augmenté à plus de 2,4 millions de dollars.

Nouvel entrant sur le marché des ransomwares

Chaos est une opération de ransomware-as-a-service nouvellement identifiée qui est active depuis au moins février 2025.

Le groupe a été documenté pour la première fois par la société de cybersécurité Cisco Talos, qui a mis en garde contre ses capacités multiplateformes qui lui permettent de cibler les systèmes fonctionnant sous Windows, Linux, ESXi et NAS.

Comme d’autres modèles RaaS, Chaos octroie des licences pour ses logiciels malveillants à des affiliés en échange d’une part des paiements de rançon.

Les victimes sont généralement poussées à payer en cryptomonnaie pour retrouver l’accès aux fichiers cryptés ou pour empêcher la publication de données volées.

Bien qu’il partage son nom avec un constructeur de ransomware bien connu, Chaos semble être un groupe entièrement distinct.

Les chercheurs pensent que les acteurs de la menace à l’origine de la campagne de ransomware pourraient exploiter intentionnellement le nom pour masquer l’attribution et rendre les efforts de suivi plus difficiles.

On pense que l’alias « Hors » représente l’un des nombreux participants actifs utilisant la plateforme Chaos.

Un mois chargé pour le DOJ

Plus tôt ce mois-ci, le ministère de la Justice a déposé une action civile similaire en confiscation pour récupérer plus de 7 millions de dollars de crypto-monnaie saisis par la Sécurité intérieure dans le cadre d’une enquête sur une escroquerie d’investissement dans le pétrole et le gaz de 97 millions de dollars.

Les fonds auraient été blanchis par le biais de portefeuilles liés à des suspects en Russie et au Nigeria et acheminés via des bourses offshore.

Toujours en juillet, le ministère de la Justice a révélé qu’il avait collaboré avec Tether pour récupérer 40 300 dollars en USDT liés à une escroquerie par hameçonnage qui usurpait l’identité du comité inaugural Trump-Vance.